Επιδράσεις της ρύθμισης ασφαλείας "Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή" στα Windows XP και νεότερες εκδόσεις των Windows

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 811833 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Ο οργανισμός United States Federal Information Processing Standard (FIPS) καθορίζει τις απαιτήσεις ασφάλειας και διαλειτουργικότητας για συστήματα υπολογιστών που χρησιμοποιούνται από την ομοσπονδιακή κυβέρνηση των Η.Π.Α. Το πρότυπο FIPS 140 ορίζει τους εγκεκριμένους αλγορίθμους κρυπτογράφησης. Επίσης, το πρότυπο FIPS 140 ορίζει τις απαιτήσεις για τη δημιουργία και τη διαχείριση κλειδιών. Το ίδρυμα National Institute of Standards and Technology (NIST) χρησιμοποιεί το Cryptographic Module Validation Program (CMVP) για να καθορίσει αν μια συγκεκριμένη υλοποίηση ενός αλγόριθμου κρυπτογράφησης συμμορφώνεται με το πρότυπο FIPS 140. Η υλοποίηση ενός αλγόριθμου κρυπτογράφησης θεωρείται ότι συμμορφώνεται με το πρότυπο FIPS 140 μόνο αν έχει υποβληθεί για έλεγχο στο NIST και έχει περάσει με επιτυχία. Ένας αλγόριθμος που δεν έχει υποβληθεί δεν μπορεί να θεωρηθεί ότι συμμορφώνεται με το FIPS, ακόμα και αν η υλοποίηση παράγει τα ίδια ακριβώς δεδομένα με μια επαληθευμένη υλοποίηση του ίδιου αλγόριθμου. 

Για περισσότερες πληροφορίες σχετικά με τον τρόπο με τον οποίο τα προϊόντα και οι βιβλιοθήκες της Microsoft συμμορφώνονται με το πρότυπο FIPS 140, επισκεφτείτε την ακόλουθη τοποθεσία web της Microsoft:
http://technet.microsoft.com/el-gr/library/cc750357.aspx
Σε ορισμένα σενάρια, μια εφαρμογή ενδέχεται να χρησιμοποιεί μη εγκεκριμένους αλγόριθμους ή διαδικασίες όσο η εφαρμογή λειτουργεί σε μια κατάσταση που συμμορφώνεται με το FIPS. Για παράδειγμα, η χρήση μη εγκεκριμένων αλγόριθμων μπορεί να επιτραπεί στα ακόλουθα σενάρια:
  • Όταν ορισμένες εσωτερικές διαδικασίες παραμένουν εντός του υπολογιστή
  • Όταν ορισμένα εξωτερικά δεδομένα θα κρυπτογραφηθούν επιπλέον από μια υλοποίηση που συμμορφώνεται με το FIPS

Περισσότερες πληροφορίες

Στα Windows XP και σε νεότερες εκδόσεις των Windows, όταν ενεργοποιείτε την ακόλουθη ρύθμιση ασφάλειας στην Τοπική πολιτική ασφαλείας ή ως μέρος της Πολιτικής ομάδας, ενημερώνετε τις εφαρμογές ώστε να χρησιμοποιούν μόνο τους αλγόριθμους κρυπτογράφησης που συμμορφώνονται με το πρότυπο FIPS 140 και με καταστάσεις λειτουργίας που εγκρίνονται από το FIPS:
Κρυπτογραφία συστήματος: Χρήση αλγορίθμων συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή
Αυτή η πολιτική είναι μόνο συμβουλευτική για εφαρμογές. Επομένως, εάν ενεργοποιήσετε την πολιτική, αυτό δεν εξασφαλίζει ότι όλες οι εφαρμογές θα συμμορφώνονται. Οι ακόλουθες περιοχές του λειτουργικού συστήματος θα επηρεαστούν από αυτήν τη ρύθμιση:
  • Αυτή η ρύθμιση έχει ως αποτέλεσμα το πακέτο ασφαλείας Schannel και όλες οι εφαρμογές που βασίζονται στο πακέτο ασφαλείας Schannel να διαπραγματεύονται μόνο το πρωτόκολλο Transport Layer Security (TLS) 1.0 (Ασφάλεια επιπέδου μεταφοράς). Εάν η ρύθμιση αυτή ενεργοποιηθεί σε διακομιστή που εκτελεί IIS, μπορούν να συνδεθούν μόνο προγράμματα περιήγησης στο Web που υποστηρίζουν το TLS 1.0. Εάν η ρύθμιση αυτή ενεργοποιηθεί σε ένα πρόγραμμα-πελάτη όπως το Microsoft Internet Explorer, όλα τα προγράμματα-πελάτες Schannel θα μπορούν να συνδεθούν μόνο με διακομιστές που υποστηρίζουν το πρωτόκολλο TLS 1.0. Για μια λίστα οικογενειών προγραμμάτων κρυπτογράφησης που υποστηρίζονται όταν είναι ενεργοποιημένη η ρύθμιση, ανατρέξτε στο άρθρο "Cipher Suites in Schannel" (Οικογένεια προγραμμάτων κρυπτογράφησης στο Schannel).

    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
    811834 Δεν είναι δυνατή η επίσκεψη σε τοποθεσίες SSL μετά την ενεργοποίηση της κρυπτογράφησης που είναι συμβατή με FIPS
  • Αυτή η ρύθμιση επηρεάζει επίσης τις Υπηρεσίες τερματικού στον Windows Server 2003 και σε νεότερες εκδόσεις των Windows. Το αποτέλεσμα εξαρτάται από το αν το TLS χρησιμοποιείται για έλεγχο ταυτότητας του διακομιστή.

    Εάν το TLS χρησιμοποιείται για έλεγχο ταυτότητας του διακομιστή, αυτή η ρύθμιση έχει ως αποτέλεσμα να χρησιμοποιείται μόνο το TLS 1.0.

    Από προεπιλογή, αν δεν χρησιμοποιείται το TLS και αυτή η ρύθμιση δεν είναι ενεργοποιημένη στον υπολογιστή-πελάτη ή στο διακομιστή, το κανάλι του Πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) μεταξύ του διακομιστή και του υπολογιστή-πελάτη κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμό RC4 με 128 bit μήκος κλειδιού. Μετά την ενεργοποίηση αυτής της ρύθμισης σε έναν υπολογιστή που βασίζεται σε Windows Server 2003, ισχύουν τα ακόλουθα:
    • Το κανάλι RDP κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο 3DES σε κατάσταση λειτουργίας Cipher Block Chaining (CBC) με 168 bit μήκος κλειδιού.
    • Ο αλγόριθμος SHA-1 χρησιμοποιείται για τη δημιουργία συνόψεων μηνυμάτων.
    • Οι υπολογιστές-πελάτες πρέπει να χρησιμοποιήσουν το πρόγραμμα-πελάτη RDP 5.2 ή νεότερη έκδοση για να συνδεθούν.
    Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης των υπηρεσιών τερματικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
    814590 Τρόπος ενεργοποίησης και ρύθμισης της Απομακρυσμένης επιφάνειας εργασίας για Διαχείριση (Remote Desktop for Administration) στον Windows Server 2003
  • Υπολογιστές-πελάτες με Windows XP οι οποίοι χρησιμοποιούν το πρόγραμμα-πελάτη RDP 5.2 και νεότερες εκδόσεις του, μπορούν να συνδεθούν σε υπολογιστές με Windows Server 2003, Windows Vista ή Windows Server 2008 όταν ενεργοποιείτε αυτήν την επιλογή. Ωστόσο, συνδέσεις απομακρυσμένης επιφάνειας εργασίας σε υπολογιστές με Windows XP αποτυγχάνουν όταν ενεργοποιείτε αυτήν την επιλογή στον πελάτη ή τον διακομιστή.
  • Οι υπολογιστές-πελάτες με Windows που έχουν ενεργοποιημένη τη ρύθμιση FIPS δεν μπορούν να συνδεθούν με υπηρεσίες τερματικού των Windows 2000.
  • Αυτή η ρύθμιση επηρεάζει τον αλγόριθμο κρυπτογράφησης που χρησιμοποιείται από το Σύστημα αρχείων κρυπτογράφησης (EFS) για νέα αρχεία. Τα υπάρχοντα αρχεία δεν επηρεάζονται και εξακολουθούν να είναι προσβάσιμα μέσω της χρήσης των αλγορίθμων με τους οποίους κρυπτογραφήθηκαν αρχικά.

    Σημειώσεις
    • Από προεπιλογή, το EFS χρησιμοποιεί τον αλγόριθμο DESX στα Windows XP RTM. Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, το EFS χρησιμοποιεί κρυπτογράφηση 168-bit 3DES.
    • Από προεπιλογή, στα Windows XP Service Pack 1 (SP1), σε νεότερες εκδόσεις των service pack των Windows XP και στα Windows Server 2003, το EFS χρησιμοποιεί τον αλγόριθμο Advanced Encryption Standard (AES) με 256-bit μήκος κλειδιού. Ωστόσο, το EFS χρησιμοποιεί την υλοποίηση AES λειτουργίας πυρήνα. Αυτή η υλοποίηση δεν έχει επικυρωθεί στο FIPS σε αυτές τις πλατφόρμες. Αν ενεργοποιήσετε τη ρύθμιση FIPS σε αυτές πλατφόρμες, το λειτουργικό σύστημα χρησιμοποιεί τον αλγόριθμο 3DES με 168-bit μήκος κλειδιού.
    • Στα Windows Vista και Windows Server 2008, το EFS χρησιμοποιεί τον αλγόριθμο AES με κλειδιά 256-bit. Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, θα χρησιμοποιηθεί το AES-256.
    • Η τοπική πολιτική του FIPS δεν επηρεάζει την κρυπτογράφηση του κλειδιού του κωδικού πρόσβασης.
  • Οι εφαρμογές του Microsoft .NET Framework όπως το Microsoft ASP.NET, επιτρέπουν μόνο τη χρήση υλοποιήσεων αλγόριθμων που το NIST έχει πιστοποιήσει πως συμμορφώνονται με το FIPS 140. Συγκεκριμένα, οι μόνες κλάσεις αλγόριθμων κρυπτογράφησης που μπορούν να χρησιμοποιηθούν είναι αυτές που υλοποιούν αλγόριθμους που συμμορφώνονται με το FIPS. Τα ονόματα αυτών των κλάσεων τελειώνουν σε "CryptoServiceProvider" ή "Cng." Κάθε απόπειρα δημιουργίας μιας εμφάνισης άλλων κλάσεων αλγορίθμων, όπως οι κλάσεις με ονόματα που τελειώνουν σε "Managed," προκαλούν την εμφάνισης μιας εξαίρεσης InvalidOperationException. Επιπρόσθετα, κάθε απόπειρα δημιουργίας μιας εμφάνισης αλγορίθμου κρυπτογράφησης που δεν συμμορφώνεται με το FIPS, όπως το MD5, προκαλεί επίσης την εμφάνιση μιας εξαίρεσης InvalidOperationException.
  • Αν η ρύθμιση FIPS είναι ενεργοποιημένη, η επικύρωση των εφαρμογών ClickOnce αποτυγχάνει εκτός και αν ο υπολογιστής-πελάτης έχει εγκατεστημένο ένα από τα ακόλουθα:
    • Το .NET Framework 3.5 ή νεότερη έκδοση του .NET Framework
    • Το .NET Framework 2.0 Service Pack 1 ή νεότερη έκδοση service pack
    Σημειώσεις
    • Με το Visual Studio 2005, οι εφαρμογές ClickOnce δεν μπορούν να δομηθούν ή να δημοσιευθούν από έναν υπολογιστή που απαιτείται από το FIPS. Ωστόσο, αν ο υπολογιστής έχει το .NET Framework 2.0 SP2, το οποίο περιλαμβάνεται στο .NET Framework 3.5 SP1, το Visual Studio 2005 μπορεί να δημοσιεύσει εφαρμογές Winforms/WPF.
    • Με το Visual Studio 2008, οι εφαρμογές ClickOnce δεν γίνεται να δομηθούν ή να δημοσιευθούν, εκτός και αν είναι εγκατεστημένο το Visual Studio 2008 SP1 ή μια παλαιότερη έκδοση του Visual Studio.
  • Από προεπιλογή, στα Windows Vista και Windows Server 2008, η δυνατότητα κρυπτογράφησης μονάδων δίσκου BitLocker χρησιμοποιεί κρυπτογράφηση 128-bit AES σε συνδυασμό με ένα επιπρόσθετο diffuser. Όταν είναι ενεργοποιημένη αυτή η ρύθμιση, το BitLocker χρησιμοποιεί κρυπτογράφηση 256-bit AES χωρίς diffuser. Επιπρόσθετα, δεν δημιουργούνται κωδικοί αποκατάστασης ή αντίγραφα ασφαλείας τους στην υπηρεσία καταλόγου Active Directory. Επομένως, δεν μπορείτε να κάνετε επαναφορά από χαμένα PIN ή αλλαγές συστήματος πληκτρολογώντας έναν κωδικό αποκατάστασης με το πληκτρολόγιο. Αντί να χρησιμοποιήσετε έναν κωδικό αποκατάστασης, μπορείτε να δημιουργήστε αντίγραφο ασφαλείας ενός κλειδιού αποκατάστασης σε μια τοπική μονάδα δίσκου ή σε ένα κοινόχρηστο στοιχείο του δικτύου. Για να χρησιμοποιήσετε το κλειδί αποκατάστασης, τοποθετήστε το κλειδί σε μια συσκευή USB. Στη συνέχεια, συνδέστε τη συσκευή στον υπολογιστή.
  • Στα Windows Vista SP1 και σε νεότερες εκδόσεις των Windows Vista όπως και στα Windows Server 2008, η τροποποίηση των ρυθμίσεων κρυπτογράφησης της πολιτικής IPsec του Windows Firewall, επιτρέπεται μόνο σε μέλη του Cryptographic Operators group.
Σημειώσεις
  • Μετά την ενεργοποίηση ή απενεργοποίηση της επιλογής Κρυπτογραφία συστήματος: Χρησιμοποιήστε αλγόριθμους που συμμορφώνονται με το FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή των ρυθμίσεων ασφαλείας. Θα πρέπει να κάνετε επανεκκίνηση της εφαρμογής, όπως ο Internet Explorer, για να εφαρμοστούν οι αλλαγές.
  • Αυτή η ρύθμιση ασφαλείας επηρεάζει την ακόλουθη τιμή του μητρώου στα Windows Server 2008 και Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Αυτή η τιμή μητρώου αντικατοπτρίζει την τρέχουσα ρύθμιση του FIPS. Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, η τιμή είναι 1. Εάν αυτή η ρύθμιση είναι απενεργοποιημένη, η τιμή είναι 0.
  • Αυτή η ρύθμιση ασφαλείας επηρεάζει την ακόλουθη τιμή μητρώου στα Windows Server 2003 και στα Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Αυτή η τιμή μητρώου αντικατοπτρίζει την τρέχουσα ρύθμιση FIPS. Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, η τιμή είναι 1. Εάν αυτή η ρύθμιση είναι απενεργοποιημένη, η τιμή είναι 0.

Ιδιότητες

Αναγν. άρθρου: 811833 - Τελευταία αναθεώρηση: Παρασκευή, 30 Αυγούστου 2013 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Λέξεις-κλειδιά: 
kbhowto kbinfo KB811833

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com